BELGISCHE SENAAT
________
Zitting 2012-2013
________
14 juni 2013
________
SENAAT Schriftelijke vraag nr. 5-9329

de Karl Vanlouwe (N-VA)

aan de staatssecretaris voor Sociale Zaken, Gezinnen en Personen met een handicap, belast met Beroepsrisico's, en staatssecretaris voor Wetenschapsbeleid, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________
Het Computer emergency response team en cyberdefensie
________
computercriminaliteit
gegevensbescherming
Vaste Comités van Toezicht op de politie- en inlichtingendiensten
computervirus
officiële statistiek
________
14/6/2013Verzending vraag
16/12/2013Antwoord
________
Herkwalificatie van : vraag om uitleg 5-2912
________
SENAAT Schriftelijke vraag nr. 5-9329 d.d. 14 juni 2013 : (Vraag gesteld in het Nederlands)

Op de vooravond van de Europese top van 22 maart 2011 werden de Europese Commissie en de EDEO het slachtoffer van een cyberaanval. Omdat de aanval specifieke directoraten-generaal en ambtenaren van de Europese Commissie viseerden wordt deze cyberaanval als bijzonder ernstig gezien.

Het Veiligheidsdirectoraat van de Commissie heeft reeds in 2009 een Actieplan tegen Cyberaanvallen opgesteld waarin de lidstaten gevraagd werd op tegen 2012 een Computer Emergency Response Team (CERT) op te zetten om schadelijke software te detecteren. In België is de CERT sinds 2010 actief en is men momenteel druk bezig met de gefaseerde operationalisering ervan.

De oprichting van de CERT gebeurt in vier fases: eerst werd in september 2009 begonnen met de installatie van de kritieke infrastructuur en dit werd gevolgd door de uitbreiding naar het grote publiek in januari 2010. Momenteel zijn we in de derde fase aanbeland waarin de openingsuren worden uitgebreid (juli 2011).

U stelde dat de CERT zijn opdracht vervult in samenwerking en overleg met andere instanties - zoals het Belgische Instituut voor Postdiensten en Telecommunicatie (BIPT), de Computer Crime Units, de FOD's Justitie en Defensie - maar dat deze nog moet geformaliseerd worden. Een werkgroep voor incidentenbeheer zou een voorstel uitwerken waarin de samenwerking met de verschillende federale actoren geregeld wordt.

Het Comité I bracht op 24 augustus laatstleden een rapport uit waarin het niet mals is voor het federaal beleid rond cyberdefensie. Het ontbreken van een globaal federaal beleid inzake informatieveiligheid heeft tot gevolg dat ons land zeer kwetsbaar is voor aanvallen tegen vitale informatiesystemen -en netwerken.

Meerdere federale instelling houden zich vandaag bezig met de beveiliging van de informaticasystemen; de Nationale Veiligheidsdienst (NVO), de FOD Informatie- en Communicatietechnologie (FedICT), de federale internetprovider BelNET en het BIPT. Maar geen enkele van die instellingen blijkt een algemeen beeld te hebben voor de kritieke infrastructuur van de informaticasystemen, aldus het rapport.

Verder maakt het Comité I zich ook zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om gekwalificeerde personeelsleden te rekruteren.

Tenslotte maakt het Comité I de bedenking dat de Belgische wetgeving enkel toelaat om vijandige systemen in het buitenland te neutraliseren in geval van een cyberaanval op de informatiesystemen van Defensie. Indien er aanvallen plaatsvinden op andere FOD's of nationale kritieke infrastructuur, kan hierop slechts achteraf defensief gereageerd worden, zonder het vijandelijk systeem te mogen neutraliseren.

Graag kreeg ik een antwoord op de volgende vragen:

1. Hoeveel cybercrime-incidenten heeft CERT ontvangen sinds haar oprichting?

a. Hoeveel incidenten worden er momenteel onderzocht? Voor hoeveel is een domeinoverschrijdend onderzoek nodig?

b. In hoeveel gevallen heeft CERT cybercrimemeldingen doorverwezen naar andere autoriteiten, en dewelke (zowel binnen-als buitenland)?

c. Voor hoeveel incidenten is het onderzoek afgerond en is het dossier doorgestuurd naar Justitie?

d. Voor hoeveel incidenten is er geen verder onderzoek mogelijk? Hoeveel incidenten zijn afgesloten omdat er slechte informatie-uitwisseling was?

e. Gelieve een onderverdeling van de incidenten te geven van normale/ernstige/grote incidenten, met enkele concrete voorbeelden die bij elke klasse horen.

2. Hoe verloopt de inwerkingtreding van de CERT?

a. Hoe evalueert u fase 1 (kritieke infrastructuur) en fase 2 (uitbreiding naar het grote publiek)?

b. Welke zijn de onder fase 3 aangekondigde uitgebreide openingsuren van de CERT ?

c. Kan men stellen dat de CERT voldoende naambekendheid geniet bij het doelpubliek?

d. Hoeveel hits kreeg de website sinds haar oprichting, en wat is de evolutie hierin?

e. Wanneer zal de CERT volledig operationeel zijn? Welk budget wordt hiervoor uitgetrokken (per fase)?

3. Zijn de Federale Overheidsdiensten en het federale parlement voldoende beveiligd tegen cyberaanvallen naar normen van de Europese Unie? Welke beveiligingsnormen worden gebruikt en waarom?

4. Bestaat er een zogenaamd Disaster Recovery Plan, als plan-B indien de kritieke systemen van ons land het slachtoffer wordt van een cyberaanval?

5. Is er op uw departement reeds een adviseur ter coördinatie van de informatieveiligheid aangesteld? Waaruit bestaan zijn taken en aan wie rapporteert hij?

6. Hoe verloopt de samenwerking met FOD Justitie die de coördinatie over het cyberdefensieproject heeft? Is het logisch dat FOD Justitie de leiding heeft en niet de FOD Economie, onder wie de CERT.be valt? Zijn er reeds problemen te melden op vlak van praktische samenwerking en informatie-uitwisseling? Hoeveel keer per jaar komen mensen van de FOD Economie samen met FOD Justitie om cyberdefensie te bespreken, en is dit voldoende?

7. Hoe verloopt de samenwerking met de FOD's Binnenlandse Zaken, ICT, Defensie, Wetenschapsbeleid en Buitenlandse Zaken in het kader van cyberdefensie? Werd deze reeds geformaliseerd zodat de CERT en FOD Justitie bij incidenten tijdig kunnen handelen?

8. Welke sectoren krijgen prioriteit in het cyberdefensieproject en welke actoren houden zich met welke sector bezig?

9. Welke inspanningen kan de regering doen om ons land minder kwetsbaar te maken? Wordt er gewerkt aan een gecoördineerde federale cyberstrategie?

10. Het Comité I maakt zich zorgen om het personeelsbeleid van de inlichtingendiensten en het gebrek aan fondsen om op gekwalificeerde personeelsleden te rekruteren. Wordt uw departement ook met dit probleem geconfronteerd?

11. Moet er meer slagruimte zijn om cyberaanvallen te kunnen neutraliseren, in plaats van slechts achteraf defensief te kunnen reageren?

12. In hoeveel gevallen zijn er van de FOD Economie documenten gestolen via een cyberaanval? Wanneer was dit, over welke documenten gaat het en wat is de gevoeligheid van de gestolen informatie? Welke maatregelen werden er genomen?

13. Welke infrastructuren worden door de FOD Economie als kritiek en gevoelig geïdentificeerd en krijgen prioriteit in cyberdefensie?

Antwoord ontvangen op 16 december 2013 :

Het geachte lid vindt hierna het antwoord op zijn vraag.

1. Cijfers vanaf september 2009 tot en met mei 2013:


2009

2010

2011

2012

2013

Total

Incident rapporten (*)

302

2135

2609

3866

2412

11324

Incidenten (**)

464

1389

1494

1981

1434

6762

Onderzoeken (***)

302

976

1161

829

880

4148

(*) Incident rapporten: een kennisgeving van incidenten, ofwel via een derde partij, ofwel gecreëerd door een lid van CERT.be zelf. Iedere e-mail verzonden naar het adres [email protected] wordt beschouwd als een incident rapport en in het systeem ingevoerd.

(**) Incident: een bevestigd veiligheidsincident. Na controle dat het om een legitieme incidentmelding gaat die bovendien betrekking heeft op de doelgroep, wordt deze gelinkt aan een incident in de door CERT.be gebruikte tool. Er bestaat geen strikte 1-1 relatie tussen het incident rapporten en de incidenten: het is namelijk zo dat niet iedere kennisgeving een legitiem incident bevat en om gekeerd kan één enkele melding ook aanleiding geven tot meerdere incidenten en onderzoeken.

(***) Onderzoeken: bij incidenten met meerdere betrokken partijen laat de tool toe om voor één enkel incident meerdere onderzoeken te creëren.

1. a) CERT.be heeft niet het mandaat om systematisch domeinoverschrijdende onderzoeken te verrichten.

1. b) CERT.be heeft cybercrimemeldingen doorverwezen enkel naar binnenlandse autoriteiten, met name naar de Belgische federale politie, Federal Computer Crime Unit (FCCU). Buitenlandse contacten gebeuren via de buitenlandse CERT’s. CERT.be beschikt hiervoor niet over exacte cijfers.

1. c) CERT.be meldt geen incidenten rechtstreeks aan justitie. CERT.be raadt slachtoffers wel steeds aan om een klacht neer te leggen bij de politie.

1. d) CERT.be beschikt niet over specifieke cijfers voor deze categorie van incidenten.

1. e) Tijdens de eerste vijf maanden van 2013 werden er 2 412 meldingen, gemiddeld 482 / maand; 1 981 incidenten, gemiddeld 287 / maand, te weten:

  • 23 % scan-incidenten
(zoals bij voorbeeld incidenten waarbij databases gescand / getest worden door derden om zwakke punten in het systeem te ontdekken).

  • 16 % incidenten met systemen (zoals bij voorbeeld geïnfecteerde webservers).

  • 24,5 % phishing incidenten
(zoals bij voorbeeld Belgische sites die nagemaakt worden of nagemaakte buitenlandse sites die in België gehost worden).

  • 9,5 % incidenten met ernstige worm- en virusuitbraken (zoals bij voorbeeld een virus dat plots het bedrijfsnetwerk belaagt)

  • 9 % incidenten die met Spam te maken hadden
(zoals bij voorbeeld systemen of personen die spam uitsturen zonder het te weten)

  • 1 % incidenten met accounts
(zoals het trachten te verkrijgen van gegevens van en voor allerlei accounts zoals bedrijfsaccounts, e-mail...)

  • 4,5 % incidenten waarbij kwetsbaarheden gemeld worden (zoals bij voorbeeld white hat hackers die bepaalde kwetsbaarheden in systemen, servers, sites... vinden en melden)

  • 1,5 % incidenten met denial-of-service aanvallen
(zoals bij voorbeeld het lam leggen van een website of een dienst door een aanval op servers door bijvoorbeeld een botnet)

  • 1 % incidenten/vragen over internet security gerelateerde thema’s en issues (zoals bij voorbeeld vragen van bedrijven of organisaties om bepaalde incidenten beter te kunnen aan pakken)

  • 10 % andere incidenten die niet in de vorige categorieën in te delen waren.

2. CERT.be verloopt gefaseerd, zoals gepland.

2. a) Met gemengd succes. Eén van de problemen is dat er geen sluitende definitie is van wat als kritieke infrastructuur wordt beschouwd. CERT.be werkt op dit ogenblik aan een website gericht op het grote publiek.

2. b) CERT.be biedt permanentie op werkdagen tussen 9u en 17u. Daarbuiten wordt ondersteuning geboden op vrijwillige basis en volgens beschikbaarheid.

2. c) De naambekendheid van CERT.be zit in stijgende lijn. Met name de mediabelangstelling rond CERT.be naar aanleiding van de lancering van de website www.dns-ok.be : de bezoeker had zeker zijn dat zijn computer niet geïnfecteerd was met het DNS-Changer virus.

2. d) In 2013 werden er 1 479 bezoekers in januari, 2 367 in februari, 3 733 in maart, 2144 in april en 2 428 in mei.

2. e) Volgens de initiële planning had het CERT vandaag moeten beschikken over elf medewerkers (FTE). Door de moeilijkheden om geschikte medewerkers aan te werven en te behouden beschikt CERT.be vandaag over slechts zeven FTE’s.

3. tot 9. /

10. Cf 2. e).

11. Dit behoort niet tot de taken van CERT.be.

12. en 13. : /